Ieri sera abbiamo ricevuto un'e-mail da un amico che diceva di aver trovato alcuni nuovi utenti con privilegi di amministratore su alcuni dei suoi siti Web WordPress e ci ha chiesto di provarli.
Abbiamo iniziato a indagare e sembra che i siti Web avessero una cosa in comune: il WP GDPR Compliance .
Sembra che ci sia una vulnerabilità nel plugin e si siano verificati una serie di attacchi ai siti che utilizzano questo plugin.
Esistono diversi stadi di infezione:
- vengono creati gli utenti amministratori
- i file sono stati modificati
- reindirizzamento al sito web russo
Ti consigliamo di verificare se sul tuo sito sono comparsi recentemente t3trollherten “, “ t2trollherten ” o “ trollherten
Dopo aver creato gli utenti, gli aggressori hanno modificato i file di altri script PHP (plugin). Ad esempio, abbiamo trovato file PHP modificati nella cartella del plugin Akismet.
Su alcuni siti Web, abbiamo trovato questo URL Pastebin in wp_options su siteurl.
https://pastebin.com/raw/V8SVyu2P?A questo punto il sito web inizia a rompersi, ricevi errori di connessione al database o il tuo sito web viene reindirizzato a un altro sito, a volte russo.
Come recuperare dall'hacking
Se non ci sono utenti non dovresti avere problemi, probabilmente il tuo sito web non è stato attaccato.
Per evitare che ciò accada, aggiorna il plug-in WP GDPR Compliance alla versione più recente, gli sviluppatori hanno risolto il problema
Idealmente, mantieni aggiornati tutti i plugin e i temi di WordPress per prevenire possibili problemi di sicurezza come questo.
Se trovi questi utenti, c'è la possibilità che non siano riusciti a infettare il sito ma non puoi saperlo con certezza, quindi probabilmente è meglio ripristinare da un backup, quindi aggiornare il plug-in WP GDPR Compliance.
Inoltre, se disponi di un plug-in di sicurezza come Defender Pro, scansiona la tua istanza WordPress per vedere se è pulita.
Se non riesci a ripristinare o non disponi di un backup, dovrai pulire il sito manualmente:
- eliminare gli utenti malintenzionati dal database
- elimina tutti i file PHP e JS (mantieni solo wp-content/uploads)
- reinstallare WordPress e i temi e i plugin che utilizzi
Se vuoi evitare queste situazioni, valuta la possibilità di passare da un hosting condiviso a un hosting WordPress esperto. Nessuno dei nostri di hosting WordPress gestito è stato interessato, tutti i siti Web interessati si trovavano su hosting condiviso.
Per non dire che è a causa dell'hosting, ma con l'hosting gestito ottieni monitoraggio proattivo, aggiornamenti gestiti e puoi evitare questo tipo di situazione.
Quando abbiamo identificato cosa stava succedendo, abbiamo immediatamente aggiornato il plug-in sui siti Web dei nostri clienti che presentavano la versione vulnerabile ed eseguito una scansione automatizzata.
Abbiamo anche clienti che ospitano con noi ma non gestiamo i loro siti Web, non abbiamo accesso alle loro istanze WordPress.
Quindi cerchiamo nel server la cartella wp-gdpr-compliance per identificare i client che hanno utilizzato il plugin. Abbiamo inviato loro un'e-mail, notificando la vulnerabilità della sicurezza con le istruzioni su come verificare se i loro siti Web fossero stati violati.
Se anche tu hai bisogno di aiuto non esitare a contattarci.
Lascia un commento